Con la Sentenza del 9 Febbraio 2021 il Tribunale di Milano (per quanto noto, per la prima volta in Italia) si è pronunciato in materia di eredità digitale ed in particolare sul diritto dei congiunti ad accedere ai dati personali del de cuius custoditi in Cloud.
LA POSIZIONE DEI RICORRENTI
Con ricorso ex artt. 669 bis e 700 c.p.c., veniva evocata in giudizio la Apple Italia S.r.l. chiedendo, in via cautelare di “emettere, con decreto inaudita altera parte, o con ordinanza, previa audizione delle parti, i provvedimenti necessari ed idonei a tutelare i diritti dei ricorrenti e, segnatamente, voglia ordinare alla Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto”.
A sostegno delle domande formulate i ricorrenti (genitori del de cuius) evidenziavano, tra l’altro, che:
- il de cuius era proprietario di un telefono, prodotto dalla società resistente nel quale era inserito un dispositivo caratterizzato da un sistema di sincronizzazione online (cd. iCloud) che permetteva di conservare i contenuti digitali e di renderli accessibili – in tempo reale – tramite i vari dispositivi eventualmente posseduti dall’utente;
- il telefono cellulare era andato distrutto ed era stato pertanto impossibile recuperarlo e/o accedere ai dati in esso contenuti;
- il procedimento per il recupero delle credenziali di accesso al serviziosi si era rivelato particolarmente difficoltoso e che l’Apple per consentire l’accesso ai dati contenuti dell’ID Apple aveva preteso/richiesto un ordine del Tribunale contenente requisiti specifici, alcuni dei quali estranei alla normativa italiana.
Tanto premesso, parte ricorrente, dopo aver prospettato la possibile proposizione di una futura azione di merito (avente ad oggetto il risarcimento dei danni subiti), argomentano la sussistenza del fumus boni iuris – evidenziando come, ai sensi dell’art. 2 terdecies dal Nuovo Codice della Privacy, i diritti riguardanti le persone decedute potevano essere esercitati per “ragioni familiari meritevoli di protezione” – e del periculum in mora, atteso che la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente distrutti.
La Apple Italia, ritualmente citata, non si costituiva in giudizio e, pertanto, veniva dichiarata contumace.
L’INQUADRAMENTO NORMATIVO
Il Considerando 27 del Reg. 2016/679 dispone che: “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.
Il Decreto Legislativo 10 agosto 2018, n. 101 ha introdotto una nuova disposizione nel Codice in materia di protezione dei dati, l’art. 2-terdecies, specificamente dedicata al tema della tutela post-mortem e dell’accesso ai dati personali del defunto. La citata disposizione (Diritti riguardanti le persone decedute) prevede che: “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Come nella previgente disciplina, il legislatore non chiarisce se si tratti di una acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere quello che la più attenta dottrina ha qualificato in termini di “persistenza” dei diritti oltre la vita della persona fisica (diritti che prevedono il diritto di accesso, di rettifica, di limitazione di trattamento, di opposizione, ma anche il diritto alla cancellazione ed alla portabilità dei dati), persistenza che assume rilievo preminente a livello dei rimedi esperibili.
La regola generale prevista dal nostro ordinamento (in linea di continuità con la disciplina contenuta nell’art. 9, comma 3, del D.Lgs. 196/2003), dunque, è quella della sopravvivenza dei diritti dell’interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all’esercizio dei diritti stessi.
Il secondo comma del medesimo articolo introduce un duplice limite alla possibilità di esercizio post mortem dei diritti dell’interessato: “L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”.
Così come previsto dalla legge sulle direttive anticipate di trattamento (laddove, all’art. 4 della legge 22 dicembre 2017 n. 219, consente ad ogni persona – maggiorenne e capace di intendere e di volere – di “esprimere le proprie volontà in materia di trattamenti sanitari, nonché il consenso o il rifiuto rispetto ad accertamenti diagnostici o scelte terapeutiche e a singoli trattamenti sanitari”), anche nel caso in esame il legislatore – nell’ottica della tutela dei medesimi diritti alla dignità ed all’autodeterminazione (diritti che riguardano sia la dimensione fisica della persona che quella che attiene al rapporto con i dati personali che esprimono e realizzano una parte dell’identità della persona stessa) ha espressamente valorizzato l’autonomia dell’individuo, lasciandogli la scelta se lasciare agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure sottrarre all’accesso dei terzi tali informazioni.
Il terzo comma prevede requisiti sostanziali e formali per la manifestazione di volontà dell’interessato: “La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma”.
Infine, mentre il quarto comma dispone che la volontà espressa dall’interessato è sempre suscettibile di revoca o modifica, il quinto comma, in un’evidente ottica di bilanciamento, precisa che il divieto in oggetto “non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.
LE CONSIDERAZIONI DEL TRIBUNALE
Per il Tribunle di Milano, pertanto, il disposto del citato art. 2 terdecies legittima i ricorrenti, genitori del defunto, ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto avendo gli stessi altresì dimostrato l’esistenza delle “ragioni familiari meritevoli di protezione” richieste dalla norma.
Dalla corrispondenza intervenuta tra i ricorrenti e la società resistente emerge, poi, in modo chiaro come il de cuius non abbia espressamente vietato l’esercizio dei diritti connessi ai suoi dati personali post mortem. Il titolare del trattamento, infatti, nelle numerose comunicazioni inoltrate al difensore dei ricorrenti, non ha mai fatto riferimento all’esistenza di una dichiarazione scritta in tal senso.
Per quanto attiene, infine, alle condizioni di esercizio richieste dalla Apple S.r.l., il Giudicante ha osservato come:
- il riconoscimento della persistenza dei diritti connessi ai dati personali in capo a chi vanti come nel caso di specie, una ragione familiare meritevole di protezione non può essere subordinato alla previsione di requisiti;
- nell’ordinamento italiano non esiste la figura dell’ “amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso.
In conclusione, per il Giudice meneghino, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame.
IL DISPOSITIVO
Assunto quanto sopra il Giudice, ha condannato la Apple Italia S.r.l. a fornire assistenza per il recupero dei dati dagli account del de cuius nella procedura denominata “trasferimento” volta a consentire ai genitori l’acquisizione delle credenziali d’accesso all’ID Apple del figlio premorto.
Avv. Francesco Tortorella
***
Quanto sopra riportato costituisce una valutazione ed una interpretazione strettamente personale degli Autori. Non costituisce nè sostituisce una consulenza professionale. I Professionisti di Iuris Hub sono disponibili a fornire consulenza al fine di valutare la ricorrenza – in concreto – degli elementi che rendono possibile il recupero dell’account del de cuius ovvero la piena tutela dell’eredità digitale dello stesso.