Eredità digitale. Gli sviluppi normativi della data legacy
di Anna Capoluongo
Agli albori del 2018, a neppure due mesi dall’entrata a pieno regime del GDPR, la questione relativa all’eredità digitale – nuova frontiera del più classico diritto ereditario – aveva già dato vita ad un precedente degno di nota[1].
La Corte di Cassazione federale tedesca di Karlsruhe[2], infatti, si era già interessata ad una querelle nata (nel “lontano” 2012) dalla richiesta dei genitori di una giovane vittima quindicenne (morta travolta da un treno della metro a Berlino in circostanze poco chiare) a Facebook, e rimasta inascoltata fino al 2015, quando il caso fu portato all’attenzione del Tribunale (prima) e della Corte d’Appello (dopo)[3].
In tale occasione, la Cassazione, in aperto contrasto con la pronuncia della Corte d’Appello, aveva statuito che “il contratto che riguarda l’account di un utente con un social network è trasferito agli eredi del detentore originario dell’account” e che gli eredi “hanno diritto a rivendicare dall’operatore l’accesso all’account, compresi i dati della comunicazione”, arrivando a considerare la password, il profilo social, i post e i messaggi privati alla stregua di beni materiali quali le lettere e i diari del de cuius.
Premesso che per “Digital Legacy” si intende – in buona sostanza – l’impronta digitale lasciata da una persona, rientrandovi, quindi, dati digitali online e/o inseriti in hard disk (quali ad esempio profili social, online banking, caselle di posta elettronica, spazi di archiviazione su cloud, licenze, chat, file multimediali, criptovalute), è evidente come la tematica venga sottoposta, sempre di più, a nuove sfide, tanto etiche e (di scelte) personali, quanto giuridiche.
A distanza di poco meno di tre anni dalla citata pronuncia, oggi è il Tribunale di Milano a posare un altro importante tassello nel percorso di regolamentazione di questa materia per nulla semplice ed in continua evoluzione.
Ancora una volta la questione origina da richieste rimaste inevase.
Nel caso di specie, i genitori di un giovane chef morto in un incidente, con la speranza di avere accesso ai dati (foto, video e ricette) del suo Iphone X (andato distrutto nel sinistro) archiviati su iCloud, al fine di tentare di colmare il vuoto e “recuperare le ricette allo scopo di realizzare un progetto dedicato alla sua memoria (ad esempio, un libro di ricette)[4]”, avevano richiesto ad Apple Italia S.r.l. di poter sbloccare e fornire le suddette informazioni.
Dagli atti è emerso come Apple – a tal fine – abbia richiesto “un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua autorizzazione costituisce un “consenso legittimo”, secondo le definizioni date nell’Electronic Communications Privacy Act; 4) Che il tribunale ordina a Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi”.
Anche se, ad avviso di chi scrive, è evidente e logica la necessaria verifica dell’esistenza di determinati requisiti preliminari sottesi alla possibilità di accesso ai dati in questione – e quindi anche l’esistenza di policies e procedure aziendali a ciò espressamente deputate[5], anche a maggior garanzia dell’interessato -, appare evidente come in questo caso la netta opposizione, oltre a non fondare su solide basi, risulti figlia di un disattento o mancato balance test, non tanto (e non solo) con riferimento al GDPR, ma soprattutto alle norme degli ordinamenti degli Stati dell’UE sul tema.
Nell’Ordinanza del 9 febbraio 2021, nello specifico, il Giudice italiano, ritenendo illegittima la subordinazione dell’esercizio del diritto degli eredi al rispetto di requisiti estranei alle norme di legge nazionali (e così, ad esempio, all’applicazione dell’Electronic Communications Privacy Act pretesa da Apple), ha ritenuto di applicare quanto previsto dall’articolo 2-terdecies del Codice Privacy[6], come novellato dal D.lgs. 101/2018, che – in tema di diritti riguardanti le persone decedute – recita:
“1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
- L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.
- La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.
- L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.
- In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato, nonchè del diritto di difendere in giudizio i propri interessi”.
Il Tribunale ha, inoltre, specificato che: “(…) il legislatore non chiarisce se si tratti di un acquisto mortiis causa o di una legittimazione iure proprio, limitandosi a prevedere quello che la più attenta dottrina ha qualificato in termini di “persistenza” dei diritti oltre la vita della persona fisica (…), persistenza che assume rilievo preminente a livello dei rimedi esperibili.
La regola generale prevista dal nostro ordinamento (in linea di continuità con la disciplina contenuta nell’art. 9, comma 3, del D.lgs. 196/2003), dunque, è quella della sopravvivenza dei diritti dell’interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all’esercizio dei diritti stessi”.
Tutto ciò premesso, dunque, il Giudice ha ritenuto di accogliere la domanda dei genitori ricorrenti, condannando la Apple a fornire assistenza nel recupero dei dati personali dagli account del defunto.
Per completezza, è il caso di rilevare qualche punto dubbio:
- a) con riferimento all’interesse legittimo ex art. 6, par. 1, lettera f). Si legge, infatti:
“(…) con riferimento al diniego opposto da Apple S.r.l. per tutelare la sicurezza dei clienti (cfr. doc. 2 e 6) – e, dunque, per quanto attiene all’applicabilità del GDPR unicamente in relazione alla controparte della comunicazione, società odierna resistente (stante l’inapplicabilità del Regolamento ai dati di una persona defunta), si osserva come l’art. 6, par. 1, lettera f) del citato Regolamento autorizzi il trattamento dei dati personali necessario per il “perseguimento del legittimo interesse” del titolare o di terzi. Atteso che i ricorrenti, genitori del defunto sig. XXXXXXXX, intendono accedere agli account personali del defunto figlio per “ragioni familiari meritevoli di protezione”, deve ritenersi sussistente il predetto legittimo interesse”. Quello previsto dal citato articolo è il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ma nel caso di specie i genitori hanno agito quali eredi esercitando un proprio diritto e non quali terzi supportati da legittimo interesse;
– con riferimento alla pronuncia stessa. Non appare, infatti, facilmente azionabile una condanna ad un obbligo di facere generico (il “fornire assistenza”, che peraltro potrebbe anche tradursi nella non consegna di alcunché di concreto) ricadente in capo ad Apple Italia s.r.l., ma, in realtà, di competenza di Apple Inc., in aggiunta su beni situati fuori dalla giurisdizione nazionale.
[1] Per approfondimenti si veda: https://www.cyberlaws.it/2018/social-privacy-ed-eredita-digitale-la-pronuncia-della-corte-tedesca-fa-scuola/.
[2] Si veda: III ZR 183/17 (Zugang von Erben auf das Konto eines verstorbenen Nutzers eines sozialen Netzwerks).
[3] Si vedano: LG Berlin – Decisione del 17.12.2015 – 20 O 172/15; KG Berlin – Decisione del 31.5.2017 – 21 U 9/16.
[4] Così si legge nell’Ordinanza del Tribunale di Milano.
[5] Ad esempio, prevedendo la richiesta di autenticazione o apostille dell’atto pubblico che attesti la natura di erede del richiedente/i, come accade per gli istituti bancari a fronte di richieste di accesso alle informazioni.
[6] Con riferimento a tali dati, infatti, le tutele del GDPR non sono applicabili in virtù del Considerando 27 il quale precisa come il regolamento non si applichi ai dati personali delle persone decedute, lasciando tuttavia agli Stati Membri dell’Unione la possibilità di prevedere delle norme interne riguardanti il trattamento dei dati personali delle stesse.
Autore