Con l’ordinanza n. 2688 del 10 febbraio 2022 la sezione ottava del Tribunale di Roma affronta la questione della tutela dei dati personali dell’interessato post mortem. Nella fattispecie, ravvisando la sussistenza delle “ragioni familiari meritevoli di tutela”, il giudice romano ordina ad Apple di consentire ad una donna l’accesso ai dati del marito venuto a mancare prematuramente, archiviati nel cloud.
Sommario
La vicenda
Una vedova si rivolge al Tribunale di Roma al fine di ordinare ad Apple di fornirle, quale erede del marito defunto, “la necessaria assistenza per il recupero dei dati dell’account dello stesso anche mediante consegna della relative credenziali di accesso”.
Subito dopo la morte del coniuge, la donna aveva infatti contattato il servizio clienti della nota società americana dichiarando di non essere in possesso né del codice PIN del dispositivo i-phone intestato al coniuge scomparso né delle credenziali per accedere all’account mediante le quali avrebbe potuto accedere al contenuto del telefono del quale il marito aveva, di recente, effettuato un backup sul computer.
Di tutta risposta Apple, pur manifestano la propria vicinanza alla ricorrente per la dolorosa situazione, si era opposta a tale richiesta.
La società rappresentava la disponibilità a cooperare ma al contempo enunciava l’impossibilità di consentirne l’acquisizione in mancanza di provvedimento giudiziario, “non potendo contravvenire alle condizioni contrattuali che regolavano il rapporto con il cliente consentendo l’accesso all’account”.
La ricorrente si rivolgeva quindi al giudice invocando l’art. 2 terdecies del D.lgs 101/2018.
Nello specifico, il 1° comma di tale disposizione prevede che i diritti riferiti ai dati personali di persone decedute possono essere esercitati non solo da chi ha un interesse proprio o da chi agisce a tutela dell’interessato, in qualità di mandatario, ma anche da soggetti portatori di “…ragioni familiari meritevoli di tutela”.
A fondamento della sua richiesta la donna riteneva che i menzionati interessi fossero ravvisabili nella necessità di recuperare le fotografie ed i video presenti nel dispositivo, di rilevante contenuto affettivo, specialmente per le figlie del defunto, di soli 3 e 5 anni.
Non solo.
La moglie riteneva altresì sussistente il concreto pericolo che il mancato utilizzo di un account per un periodo prolungato – in genere non superiore a sei mesi – comportasse la disattivazione automatica di sistemi gestiti, causando irreparabilmente la perdita dei dati ad esso associati.
Apple, dal canto suo, dichiarava di aver regolato nelle condizioni contrattuali le modalità di accesso agli account ed ai dispositivi di un cliente dopo il decesso, prevedendo che la valutazione delle “ragioni familiari meritevoli di protezione” fosse demandata al giudice.
La decisione
Il Tribunale di Roma, in prima battuta, richiama il Considerando 27 del GDPR, il quale, sebbene ribadisca che il Regolamento europeo non si applichi ai dati delle persone decedute, offre la possibilità agli Stati membri di introdurre norme riguardanti il trattamento dei dati di tali soggetti.
Come correttamente citato dalla ricorrente, l’Italia, aderendo a tale raccomandazione, con il D.lgs 101 del 2018, ha specificamente dedicato ai temi della tutela post-mortem e dell’accesso ai dati personali del defunto all’art. 2 terdecies.
La regola generale prevista dal nostro ordinamento, in continuità con la disciplina contenuta nell’art. 9, comma 3, del D.lgs 196/2003 é quella della sopravvivenza dei diritti dell’interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all’esercizio dei diritti stessi.
Come nella previgente disciplina, il legislatore non prende posizione sulla vicenda acquisitiva, non chiarendo se si tratti di un acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere la “persistenza” dei diritti di contenuto digitale oltre la vita della persona fisica.
Diritti che prevedono il diritto di accesso (art. 15 GDPR), di rettifica e cancellazione (artt. 16 – 17 GDPR), di limitazione di trattamento (art. 18 GDPR), di opposizione (art. 21 GDPR) e di portabilità dei dati (art. 20 GDPR).
Permane, in ogni caso, la possibilità per l’interessato, a presidio del proprio diritto di autodeterminazione, di espressamente vietare, con dichiarazione scritta al titolare del trattamento, che eredi e/o superstiti legittimati possano accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure di sottrarre all’accesso dei terzi tali informazioni.
Nel caso di specie, secondo il Tribunale di prime cure, la ricorrente agisce iure proprio, sulla base di interessi meritevoli di protezione di naturale familiare, che la legittima all’esercizio della prerogativa prevista e giustifica il diritto di acquisire i dati riferibili al defunto.
Come sottolineato dal giudice, la richiesta di accesso alle informazioni ed ai dati personali riferibili agli account del marito e padre è infatti finalizzata a “recuperare foto e filmati di famiglia destinati a rafforzare la memoria del tempo vissuti insieme ed a conservare tali immagini a beneficio delle figlie di tenera età.”
Ritenuta la legittimazione all’esercizio del diritto di accesso ai dati personali del titolare, colpito prematuramente ed improvvisamente dall’evento morte, sorretta da quelle “ragioni di cuore” che giustificano l’accesso ai beni digitali dopo la morte del titolare, si ritiene inoltre che nel caso in esame l’accesso ai dati non sia precluso dall’accettazione delle condizioni generali di contratto da parte dell’uomo al momento dell’acquisto del dispositivo.
L’art. 2 terdecies Codice privacy, comma 3, prevede che la volontà dell’interessato di vietare l’esercizio dei diritti digitali e l’accesso ad essi dopo il suo decesso venga espressa in maniera libera, informata e specifica e che possa essere altresì revocata o modificata.
La mera adesione alle condizioni generali di contratto, in difetto di approvazione specifica delle clausole predisposte unilateralmente dal gestore della materia de qua non appare soddisfare i requisiti sostanziali e formali espressi dalla norma richiamata, tenuto conto che “le pratiche negoziali dei gestori in cui le condizioni generali di contratto si radicano non valorizzano l’autonomia delle scelte dei destinatari.“
In ogni caso, secondo il Tribunale, a fondamento della tutela richiesta soccorre anche l’art. 6, par. 1, lett. f), GDPR, che autorizza il trattamento dei dati personali necessario per il “perseguimento del legittimo interesse” del titolare o dei terzi, considerato che la ricorrente intende accedere agli account personali del marito e padre per “ragioni familiari meritevoli di protezione”, nella prospettiva della soddisfazione del predetto legittimo interesse.
Conclusione
Alla luce della recente pronuncia del Tribunale di Roma emerge che la semplice adesione alla condizioni contrattuali non possa fungere quale volontà dell’interessato di vietare l’accesso ai propri diritti digitali dopo la sua morte, posta anche la genericità del rapporto negoziale costituitosi.
Tale volontà, come prevede il Codice privacy, deve essere espressa liberamente e deve essere informata oltre che specifica.
In difetto di un diniego così formulato, il giudice ritiene che la donna, in qualità di moglie del defunto, sia portatrice di un interesse di natura familiare che è degno di ricevere protezione (anche a fronte della sua posizione di madre delle figlie dell’uomo deceduto) e ciò è sufficiente per legittimare l’esercizio del diritto di accesso ai dati personali del marito.
VP