AFPC – Mendoza
Per le “ragioni familiari meritevoli di protezione” dei genitori, Apple Italia s.r.l. è stata condannata a recuperare l’ID Apple del figlio improvvisamente deceduto.
Il patrimonio di informazioni gestite online – conto corrente, profili social, fotografie, documenti salvati su di un profilo cloud o sullo smartphone – ha un volume sempre maggiore, con la conseguente rilevanza del tema del trattamento di tale patrimonio di informazioni e dati, dopo la morte dell’interessato (c.d. “eredità digitale”).
Della questione si sono dovute occupare le più note piattaforme social. Facebook consente, ad esempio, la nomina di un “contatto erede” che, a seguito della morte del titolare, gestisca l’account che può trasformarsi in un “account commemorativo”. In alternativa, ciascun utente poteva (e può) scegliere in vita di far eliminare il proprio account in modo permanente, dopo la propria morte. Diversamente Twitter, si riserva il diritto di cancellare un profilo, dopo un determinato periodo di inattività.
Diverso è il caso delle informazioni che ciascun soggetto decide di non postare e mantenere private. Si tratta di un insieme importante di dati, il più delle volte custoditi nel cloud di uno smartphone.
Un recente provvedimento del Tribunale di Milano (reso in sede cautelare) ha affrontato la questione.
Nel caso in esame, i genitori di un ragazzo deceduto in maniera improvvisa desideravano recuperare le informazioni contenute nell’IPhone del figlio, salvate nel ICloud (T. Milano, ordinanza del 9.02.2021). Il dispositivo era andato distrutto nel violento impatto di un incidente, ma i dati erano sincronizzati online e, dunque, i contenuti digitali potevano essere ancora accessibili.
Precedenti tentativi di contatto dei genitori con Apple Italia s.r.l. non erano andati a buon fine. In particolare, quest’ultima aveva opposto l’impossibilità di fornire gli accessi richiesti per “tutelare la sicurezza dei clienti”, e richiedeva uno specifico ordine del Tribunale a tale scopo, nonché altre autorizzazioni proprie del diritto statunitense, inesistenti nel diritto italiano.
Il Tribunale di Milano, nella propria ordinanza, compie un interessante excursus sulla disciplina e sulla ratio della tutela dei dati dell’interessato, dopo la sua morte.
Nel Regolamento Europeo (Ue) 2016/679, che disciplina a livello europeo i principi che regolano il trattamento dei dati delle persone fisiche nell’Unione, nel Considerando 27, lascia a ciascuno stato la facoltà di disciplinare il trattamento dei dati personali delle persone decedute.
In assenza di una disciplina europea, l’Italia, con decreto legislativo 10 agosto 2018, n. 101 ha introdotto una nuova disposizione nel Codice in materia di protezione dei dati, l’art. 2-terdecies, specificamente dedicata alla tutela post-mortem e dell’accesso ai dati personali del defunto.
La citata disposizione, al co. 1° prevede che:
“i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Prosegue il citato articolo, prevedendo che:
“L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.”
Il legislatore, nell’ottica della tutela dei diritti alla dignità ed all’autodeterminazione (principi che permeano il GDPR, che ha al centro del proprio interesse la tutela dell’individuo), ha dunque valorizzato l’autonomia dell’interessato, lasciandogli la scelta se attribuire agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure sottrarre all’accesso dei terzi tali informazioni: il medesimo articolo dispone, infatti, che la manifestazione di volontà contraria da parte dell’interessato è sufficiente ad evitare il trattamento dei dati.
Secondo l’interpretazione dal Tribunale di Milano, la legittimazione al trattamento dei dati dell’interessato deceduto non consiste in un vero e proprio diritto ereditario. Diversamente, vi sarebbe la “persistenza” dei diritti oltre la vita dell’interessato: in altre parole, in linea generale, i diritti dell’interessato sopravvivrebbero, e sarebbe possibile che, dopo la sua morte, altri soggetti, ne possano disporre. La legittimazione di questi ultimi potrà derivare da “un interesse proprio, o […] a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Fatte tali premesse, il Tribunale conclude che “appare evidente come i ricorrenti […] siano legittimati ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto”. E ciò in ragione del fatto che le allegazioni dei genitori, che volevano poter recuperare “parte delle immagini relative all’ultimo periodo di vita del sig. (omissis)” con la volontà di “realizzare un progetto che, anche attraverso la raccolta delle sue ricette, possa tenerne viva la memoria”, costituiscono ed integrano “le ragioni familiari meritevoli di protezione richieste dalla norma”. Non risultavano, infatti, disposizioni da parte del figlio che vietassero l’esercizio dei diritti connessi con i propri dati.
In conclusione, il Tribunale condannava Apple Italia s.r.l. ad assistere i genitori del de cuius nel recupero dell’account ICloud del defunto figlio, e così, nell’accesso ai suoi dati prima che questi fossero definitivamente distrutti.
La Sentenza conduce ad una riflessione sulla necessità che ciascuno abbia chiara l’importanza dei dati che condivide, o che decide di non condividere, nonché l’importanza di effettuare una precisa scelta riguardo alla loro conservazione post mortem.
Non è affatto automatico che le persone care e gli eredi siano abilitati all’accesso dei profili social o cloud, dopo la morte dell’interessato (anzi, normalmente non conoscono la password, o addirittura l’esistenza dei profili). Talvolta, potrebbe essere lo stesso interessato a preferire, per le più svariate ragioni, la cancellazione dei dati e delle informazioni, dopo il proprio decesso.
Come anche constatato dal Consiglio Nazionale del Notariato, nel suo decalogo sull’eredità e l’identità digitale, “Il quadro giuridico è incerto”. In assenza di una disciplina organica e nella difficoltà di attuarla (a riguardo, si pensi che la maggior parte dei provider dei servizi cloud si trova in territori extraeuropei, ed è pertanto soggetta al diritto del paese di provenienza), è consigliabile che ciascuno eserciti la propria autonomia privata, anche sotto tale punto di vista, ai sensi del richiamato art. 2-terdecies del Nuovo Codice Privacy, affinché non sussistano incertezze dopo la sua morte.
L’incertezza, a riguardo, è vinta soltanto nel caso in cui il soggetto abbia effettuato in vita una precisa scelta: vietare il trattamento dei dati e l’esercizio dei relativi diritti, in modo non equivoco, con una dichiarazione “specifica, libera e informata”.
Oppure, è possibile per ciascuno avvalersi di una persona di fiducia che conservi le credenziali dei propri profili, o dei propri archivi digitali, in deposito, per poi trasmetterle al destinatario di quel particolare “diritto digitale”, secondo la disciplina testamentaria, ove potrà dare disposizioni per il trattamento dei propri dati.
Avv. Claudia Chavarria Mendoza