Privacy e tutela dei dati personali memorizzati nell'account della persona deceduta

L'accesso e il trasferimento dei dati e delle informazioni memorizzati sull'account di una persona deceduta (anche sincronizzati online su iCloud), è consentito ai terzi legittimati, ai sensi dell'art. 2-terdecies nel D.Lgs. n. 196/2003, introdotto dal d.lgs. n. 101/2018 che ha esteso le norme del GDPR anche ai trattamenti dei dati personali di persone decedute, quando i terzi siano portatori di interessi “per ragioni familiari meritevoli di protezione”, se non espressamente vietato dall'interessato, senza che la società di informazione titolare del trattamento possa frapporre ostacoli non previsti dalla normativa europea e nazionale.

I genitori di Tizio, trasferitosi a Milano per dedicarsi alla professione di chef e deceduto in un incidente stradale, avanzano formale richiesta alla Apple Italia s.r.l. di accesso ai dati e alle informazioni memorizzate sul telefono cellulare del figlio, modello I Phone X, andato distrutto nel corso dell'incidente, sincronizzate online (cd. iCloud), allo scopo di custodire la sua memoria nonché per realizzare un progetto che ne possa mantenere vivo il ricordo come, per esempio, la raccolta delle sue ricette da pubblicare in un eventuale libro al medesimo dedicato. A seguito del diniego frapposto dalla società che ha richiesto una serie di requisiti per soddisfare la relativa istanza, i ricorrenti, con ricorso cautelare, ai sensi dell'art. 700 c.p.c., adiscono il Tribunale di Milano chiedendo che vengano adottati provvedimenti necessari ed urgenti affinché la Apple fornisca l'assistenza necessaria al recupero dei dati personali dagli account del figlio defunto.

Il Tribunale di Milano, dopo avere premesso la funzione della tutela cautelare atipica avente natura anticipatoria e la connotazione di strumento preposto al presidio di interessi giuridici che potrebbero subire un pregiudizio grave ed irreparabile nel tempo necessario alla instaurazione del giudizio di merito, ha accolto il ricorso proposto condannando la Apple Italia s.r.l. (società appartenente al gruppo Apple per il cui tramite opera la Apple Distribution International LTD) a fornire assistenza ai ricorrenti nel recupero dei dati dagli account del figlio defunto, con il “trasferimento” e l'acquisizione delle credenziali d'accesso al suo “ID Apple”, riconoscendo, per un verso, la legittimazione attiva dei genitori ad agire facendo valere i diritti di cui agli articoli da 15 a 22 del Regolamento europeo per la tutela dei dati personali (c.d. GDPR), da riferirsi ai dati personali concernenti persone decedute e ciò in forza del disposto dell'art. 2-terdecies, introdotto dal d.lgs. n. 101/2018 nel Codice della protezione dei dati personali, e per altro verso, la meritevolezza dell'interesse posto a fondamento dell'azione cautelare proposta.

Il Giudice milanese, ha premesso che, seppur il considerando l'art. 27 del Reg. 2016/679 escluda espressamente l'applicazione della normativa ai dati delle persone decedute, tuttavia la stessa disposizione contiene una clausola di salvaguardia con la quale si concede ai singoli Stati membri dell'Unione la facoltà di prevedere norme a tutela del trattamento dei dati delle persone decedute e che l'Italia, avvalendosi di tale facoltà, con il d.lgs. n. 101/2018 ha introdotto l'art. 2-terdecies nel D.Lgs. 196/2003 estendendo le norme del GDPR anche ai trattamenti dei dati personali di persone decedute.

La norma in esame enuclea gli ambiti e i presupposti di operatività della deroga, consentendo, in ogni caso, alla persona cui il dato si riferisce di manifestare una volontà ostativa ad una diffusione delle sue informazioni personali, così prevedendo testualmente: “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. 2. L'esercizio dei diritti di cui al comma 1 non e' ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata. 3. La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L'interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3. 5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonchè del diritto di difendere in giudizio i propri interessi”.

Nel caso in esame, il Tribunale, dopo avere analizzato i presupposti di operatività della norma ed accertato che l'interessato non avesse vietato la diffusione dei suoi dati, ha ritenuto che le ragioni allegate dai ricorrenti, la necessità di mantenere vivo il ricordo del figlio, il legame affettivo e il progetto di rendere omaggio alla sua memoria, fossero tutti interessi giuridici meritevoli di protezione ed integrassero quelle “ragioni familiari meritevoli di protezione”, richiamate dall'art. 2-terdecies, tali da fondare il diritto oggetto del ricorso.

Infine, il provvedimento ha condivisibilmente ritenuto che le condizioni richieste dalla Apple per consentire ai ricorrenti l'accesso ai dati del figlio non fossero previste dalla normativa italiana e che, pertanto, la pretesa avanzata dalla società resistente di subordinare l'esercizio di un diritto, riconosciuto dall'ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame, dovesse reputarsi del tutto illegittima.

Nella materia della tutela dei dati personali delle persone decedute non si rinvengono numerosi precedenti e, certamente, la decisione del giudice milanese costituisce un importante tassello nella ricostruzione degli ambiti di tutela dei dati personali conservati negli account personali e gestiti da società come la Apple, operanti su scala internazionale, che sovente tendono a non uniformarsi alle normative nazionali ed europee frapponendo ostacoli all'accesso e all'esercizio dei diritti degli interessati, così come previsti e disciplinati dal GDPR agli artt. da 15 al 22 (tra i quali significativamente si ricordano, il diritto di accesso, di opposizione o di rettifica, il diritto all'oblio).

Il legislatore italiano, attento alla salvaguardia di tali diritti meritevoli di protezione anche per ragioni “familiari”, ha inteso colmare lo spazio di discrezionalità creato dal legislatore europeo attribuendo la facoltà di esercitarli ai congiunti, pur nel rispetto della volontà del soggetto cui il dato si riferisce, il quale può sempre prestare il consenso o revocarlo con dichiarazione espressa ed univoca valida anche post mortem.

In qualche caso sottoposto al vaglio del Garante questi aveva avuto modo di tutelare gli eredi concedendo loro il diritto di accedere ai dati personali del “de cuius”. In particolare, si rammenta il parere del 10 gennaio 2019 n. 9084520 ove si è rilevato che se da un lato la normativa preclude un trattamento dei dati del defunto non conforme alle volontà dello stesso de cuius o in violazione di legge, dall'altro, permette a chiunque vi abbia interesse ovvero, come detto, abbia una ragione familiare meritevole di protezione, ad esercitare le prerogative dell'interessato come se questi fosse in vita.

Significative sono gli aspetti che concernono il rispetto della volontà dello stesso interessato il quale potrebbe avere un interesse specifico alla protezione della sua “identità digitale”, costituita da tutte quelle informazioni memorizzate sui suoi account, gestiti da società dell'informazione, al punto da vietare a chiunque di accedervi. In questi casi, infatti, è data facoltà allo stesso interessato di rilasciare una “dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata”, manifestando una volontà contraria alla diffusione che deve risultare in modo non equivoco, e deve essere specifica, libera ed informata.

Tale prerogativa, tuttavia, incontra dei limiti espressamente previsti dalla stessa norma: 1) quando è la legge a stabilirlo, con riferimento alle informazioni soggette a un regime di segretezza in ragione della tutela di preminenti interessi pubblici (per esempio l'ordine pubblico); 2) quando i terzi richiedano l'accesso per l'esercizio dei diritti patrimoniali che derivano dalla morte dell'interessato o per difendere in giudizio i propri interessi.

La normativa, dunque, costituisce un adeguato contemperamento tra i diritti dell'interessato all'”oblio” (espressione utilizzata in senso ampio al dà del significato “atecnico” contenuto nell'art. 17 del GDPR) da far valere anche post mortem, e i diritti dei terzi o dello stesso Stato all'accesso al dato della persona deceduta.

Al di là dei limiti così enucleati dalla legge, la decisione in esame è meritevole per avere ribadito che è fatto divieto alle società di informazione titolari del trattamento dei dati, di introdurre limitazioni non previste dall'ordinamento che finiscono per assumere refluenze negative e pregiudizievoli dei diritti dei terzi, come nella specie dei prossimi congiunti che, al pari dell'interessato, possono essere portatori di altrettanti interessi meritevoli di protezione alla conoscenza del dato personale del defunto.