Account informatico di persona deceduta e diritti sui dati personali post mortem: una prima pronuncia del Tribunale di Milano

Di Francesca Zanovello, avvocato in Vicenza

Il Tribunale Milano, con la recente ordinanza del 9 febbraio 2021, pronunciata in sede cautelare, offre un interessante spunto di riflessione sul tema dell’accesso alle informazioni memorizzate sull’account di una persona deceduta da parte di soggetti terzi legittimati ai sensi dell’art. 2-terdecies del d.lgs. n. 196/2003 (c.d. Codice Privacy), introdotto dal d.lgs. n. 101/2018.

Il Giudice meneghino ha infatti riconosciuto ai genitori del defunto il diritto a recuperare i dati personali del figlio conservati nel suo profilo iCloud, dando rilievo alla loro qualità di terzi che agiscono per “ragioni familiari meritevoli di protezione” e all’assenza di un divieto espresso da parte dell’interessato deceduto, così come previsto dall’art. 2-terdeces.

Il fatto

Tizio, trasferitosi a Milano per dedicarsi alla professione di chef, rimaneva coinvolto in un grave incidente stradale che ne cagionava la morte. Nel violento impatto andava distrutto anche il telefono cellulare della vittima rendendo pertanto impraticabile l’accesso diretto ai dati in esso contenuti. Il dispositivo si caratterizzava però per la presenza di un sistema di sincronizzazione online che consentiva la conservazione dei contenuti digitali nel profilo iCloud dell’utente del servizio di archiviazione, permettendone l’accesso da altri dispositivi.

I genitori, spinti dal comprensibile desiderio di mantenere “vivo” il ricordo del figlio, recuperandone le foto e i video e raccogliendo le ricette da questi aveva sperimentato per la pubblicazione di un ricettario, tentavano vanamente di accedere al suo account informatico ove tali informazioni erano memorizzate.

Considerato l’insuccesso di tali tentativi, si rivolgevano alla Apple Italia S.r.l. (prestatrice del servizio), chiedendo assistenza al fine di recuperare le credenziali di accesso al medesimo profilo iCloud.

A seguito del diniego frapposto dalla Società, che richiedeva per il proprio intervento un ordine del Tribunale contenente una serie di requisiti estranei all’ordinamento italiano, i genitori di Tizio proponevano ricorso cautelare, ai sensi degli artt. 669-bis e 700 c.p.c., chiedendo l’adozione dei provvedimenti necessari ed urgenti affinché Apple fornisse loro assistenza per il recupero dei dati personali dagli account del figlio defunto.

La Società non si costituiva e il Tribunale accoglieva la domanda cautelare.

Motivi della decisione

Come anticipato, il Tribunale di Milano, con la pronuncia in commento, ha accolto la domanda cautelare avanzata dai ricorrenti condannando Apple Italia s.r.l. a fornire assistenza ai genitori dell’utente deceduto nel recupero dei dati dagli account dello stesso nella procedura c.d. di “trasferimento” diretta a consentire loro l’acquisizione delle credenziali d’accesso al “ID Apple” del figlio.

In via prioritaria il Giudice, dopo avere precisato la funzione della tutela cautelare atipica avente natura anticipatoria e carattere strumentale rispetto al merito, ha riconosciuto l’ammissibilità della domanda cautelare proposta, in quanto volta ad ottenere un provvedimento idoneo a garantire l’utilità pratica che la decisione di merito potesse attribuire alla parte, ossia un ordine rivolto ad Apple di fornire assistenza ai ricorrenti nel recupero delle informazioni conservate negli account dell’utente deceduto.

La pronuncia passa così ad analizzare la sussistenza del requisito del fumus boni iuris, soffermandosi su quanto disposto dall’art. 2-terdeces del Codice Privacy.

La menzionata disposizione è stata introdotta con il d.lgs. n. 101/2018 di adeguamento della normativa nazionale alle disposizioni del reg. UE 2016/679 (c.d. GDPR), esercitando in tal modo quel margine di discrezionalità attribuito dal legislatore europeo agli Stati membri dell’Unione.

Il Considerando 27 del GDPR, infatti, pur escludendo espressamente l’applicazione dello stesso Regolamento ai dati personali delle persone decedute, attribuisce, al contempo, ai singoli Stati membri la facoltà di prevedere norme per il trattamento di tal genere di dati.

Il Giudice passa allora ad esaminare quanto disposto dall’art. 2-terdecies che prevede, in via generale, la sopravvivenza dei diritti dell’interessato (diritto di accesso, di rettifica, di limitazione di trattamento, di opposizione, di cancellazione e alla portabilità dei dati) in seguito alla sua morte e la possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati, ancorché il legislatore non precisi se si tratti di un acquisto mortis causa o di una legittimazione iure proprio (punto sul quale il dato normativo appare laconico, non manifestando una chiara preferenza ma lasciando la parola all’interprete).

La norma in esame dispone, infatti, che “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

Al contempo, il comma secondo preclude l’esercizio di tali diritti nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.

Nel secondo caso, la volontà dell’interessato di vietare l’esercizio dei menzionati diritti (in qualsiasi momento sempre revocabile o modificabile) deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può anche riguardare l’esercizio soltanto di alcuni dei diritti. Al quinto comma dell’art. 2-terdecies il legislatore opera poi un bilanciamento tra i contrapposti interessi dell’interessato e dei terzi prevedendo espressamente che “il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.

Così ricostruito il quadro normativo di riferimento e individuati i presupposti di operatività della disposizione, il Tribunale di Milano ha riconosciuto ai ricorrenti la legittimazione all’accesso dei dati personali del figlio, in quanto, nella necessità di mantenere vivo il ricordo del figlio, nella volontà di realizzare un progetto per rendere omaggio alla sua memoria e nel legame affettivo tra genitori e figli potevano ravvisarsi le “ragioni familiari meritevoli di protezione” richieste dall’art. 2-terdecies; inoltre non risultava che l’interessato avesse vietato l’esercizio dei diritti connessi ai suoi dati personali post mortem, considerato che la Società titolare del trattamento mai aveva fatto riferimento, nelle comunicazioni con i resistenti, a una tale espressa volontà di veto dell’utente.

Al contempo, il Giudice ha considerato illegittima la pretesa avanzata dalla Società resistente di subordinare l’esercizio di un diritto relativo ai dati del defunto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame.

Infine, con riguardo al periculum in mora, il Tribunale milanese ha ritenuto in re ipsa la sussistenza del pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti, in ragione del fatto che, dopo un periodo di inattività dell’account iCloud, le informazioni ivi contenute sarebbero state automaticamente “distrutte”.

Tanto considerato il Giudice ha così concluso per l’accoglimento della domanda cautelare.

L’art. 2-terdecies: una disciplina in parte nuova per i diritti riguardanti i dati personali delle persone decedute.

Con l’art. 2-terdecies del d.lgs. n. 196/2003 (c.d. Codice Privacy), introdotto dal d.lgs. n. 101/2018, il legislatore italiano ha esercitato la facoltà attribuita agli Stati membri dal Considerando 27 del Reg. UE 2016/679 di prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.

La norma, in linea di continuità con la precedente disciplina (art. 9, comma 3 Cod. priv., oggi abrogato, e prima art. 13, comma 3, l. n. 675/1996), ha mantenuto la possibilità di esercitare i diritti riferiti a dati personali concernenti persone decedute da parte di chi abbia un interesse proprio, o agisca a tutela dell'interessato o per ragioni familiari meritevoli di protezione.

Facoltà che, per altro, ha conosciuto nell’esperienza italiana uno spazio applicativo non marginale soprattutto in materia bancaria e sanitaria (cfr. Garante Privacy 3 aprile 2002 - doc. web 1065256; Garante Privacy 22 novembre 2003 – doc. web 1053716; Garante Privacy 18 maggio 2012 – doc. web 1912468; Garante Privacy 1 luglio 2010 – doc. web 1738303; Garante Privacy 17 settembre 2009 – doc. web 1656642).

I profili di novità, invece, attengono a due aspetti: la configurabilità di un mandato con effetti post mortem dell’interessato in forza del quale soggetti terzi possono esercitare i diritti relativi ai dati del defunto; un potere di divieto riconosciuto all’interessato rispetto all’esercizio dei suddetti diritti da parte dei soggetti terzi legittimati.

Dunque, viene a configurarsi un potere di controllo dell’interessato sui propri dati personali con effetti post mortem.

Con riguardo al mandato con effetti post mortem vale la pena osservare come venga in essere una deroga all’art. 1722, comma 1, n. 4 c.c., che inserisce la morte del mandante tra le cause di estinzione del mandato.

Relativamente all’aspetto di novità che più interessa in riferimento al caso in esame, va sottolineato come il potere di divieto dell’interessato con efficacia post mortem non abbia portata generale, ma possa essere esercitato solo in relazione all’offerta di servizi della società dell’informazione diretti all’interessato stesso. Un campo di applicazione atto a ricomprendere proprio il trattamento dei dati nei servizi web quali: caselle di posta elettronica, profili di social network, account informatici, servizi iCloud e simili.

La norma richiede che il divieto sia formulato per iscritto, con istanza rivolta al titolare del trattamento. Profilo che suscita qualche perplessità in ragione del fatto che i destinatari del divieto sono i terzi (legittimati) ai quali è precluso l’esercizio dei diritti sui dati del defunto, mentre il titolare del trattamento è solo l’esecutore materiale di alcune operazioni di comunicazione o trasmissione dei dati ai terzi che esercitino tali diritti.

Ancora, il divieto deve risultare in modo non equivoco ed essere specifico, libero e informato tanto da potersi escludere che questo possa desumersi dall’approvazione di clausole contrattuali, inserite nel più ampio regolamento negoziale e predisposte (ed imposte) dal service provider per consentire all’utente l’accesso al servizio richiesto (per es. la previsione della cancellazione dell’account informatico con la morte dell’utente).

A concludere, va posto in luce come il diritto di divieto dell’interessato non sia assoluto, ma posto in bilanciamento con gli interessi dei terzi (art. 2-terdecies, comma 5). Questo infatti non può pregiudicare i diritti patrimoniali di costoro derivanti dalla morte dell’interessato, né il loro diritto di difendersi in giudizio.

Le ipotesi enunciate non sembrano però esaustive, non potendosi escludere un bilanciamento in concreto con altri diritti e/o interessi giuridicamente rilevanti di terzi.

Alcune osservazioni conclusive

L’ordinanza del Tribunale di Milano in commento si è pronunciata, per la prima volta nel nostro ordinamento giuridico, sul tema delle sorti delle informazioni contenute negli account informatici di utenti defunti, soffermandosi essenzialmente sull’aspetto dei diritti esercitabili sui dati personali della persona deceduta e trascurando ogni considerazione sui profili più strettamente successori del patrimonio ereditario digitale.

Viene, dunque, in considerazione l’identità personale e la riservatezza dell’interessato che il legislatore italiano sembra aver voluto tutelare, anche per il tempo successivo alla morte, attraverso la previsione di un suo diritto a vietare l’esercizio da parte di terzi dei diritti sui dati personali che lo riguardano.

L’art. 2-terdecies pone infatti l’accento sul rispetto della volontà dello stesso interessato, per il quale potrebbe rivestire particolare importanza la protezione della sua “identità digitale”, costituita da tutte quelle informazioni memorizzate sui suoi account, gestiti da società dell’informazione, al punto da vietare a chiunque di accedervi dopo la sua morte.

L’osservanza di una tale volontà però, oltre a non essere assoluta, in quanto posta in bilanciamento con i diritti dei terzi, è totalmente rimessa al titolare del trattamento (internet service provider), unico soggetto a conoscenza dell’istanza di divieto, in quanto suo destinatario, e unico soggetto in grado di farla valere.

Cosa che nella vicenda di specie non è accaduta, considerata la contumacia della Società Apple e il difetto di ogni effettivo accertamento sul punto. L’assenza di un divieto espresso da parte dell’interessato deceduto di esercitare i diritti sui propri dati da parte di terzi è stata infatti ricavata implicitamente dal fatto che, nelle comunicazioni scambiate con i ricorrenti, non si sia mai fatta menzione di una tale istanza da parte dell’utente.

La volontà dell’interessato di mantenere il riserbo su certi aspetti della sua vita appare pertanto agevolmente eludibile.

Il divieto dell’interessato costituisce un limite tanto più evanescente se si considera che la libertà dispositiva di cui all'art. 2-terdecies, comma 2, d.lgs. n. 196/2003 "non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi" (ex art. 2-terdecies, comma 5, d.lgs. n. 196/2003).

Conseguentemente, anche in presenza di un tale divieto, difficilmente l’accesso (e l’esercizio dei diritti sui dati del defunto) si sarebbe potuto negare. Ciò avrebbe, infatti, comportato un pregiudizio al diritto patrimoniale degli eredi non solo di subentrare nel possesso di beni digitali ereditati, ma altresì di sfruttamento economico (anche solo potenziale) delle ricette culinarie sperimentate dal figlio, presumibilmente caratterizzate dai tratti della novità e originalità tali da poter essere tutelate dalla l. n. 633/1941 sul diritto d'autore.

Allegati

Ok
Questo website usa solamente cookies tecnici per il suo funzionamento. Maggiori dettagli