Il 09 febbraio scorso il Tribunale di Milano, nella persona della dott.ssa Flamini, ha emesso il primo provvedimento in Italia in materia di eredità digitale, condannando Apple a mettere a disposizione degli eredi del giovane defunto i beni digitali custoditi all’interno del suo account, ovvero di quello spazio virtuale personalizzato messogli a disposizione dal fornitore del servizio.
Il Giudice ha fondato la sua decisione facendo esclusivo riferimento all’art. 2 terdecies del codice privacy, così come aggiornato dal D.lgs. 101 del 2018.
Qualora il tentativo di accesso all’account infruttuoso,
a) il Regolamento UE 679/2016 sul trattamento dei dati personali;
b) il D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018;
c) il contratto con il fornitore del servizio (si veda infra, par. 4).
si rivelano infatti essere gli unici strumenti utilizzabili, spesso in combinazione tra loro, per consentire ai chiamati o agli eredi di ottenere legittimamente – senza cioè che possano essere mosse loro contestazioni sull’illecito utilizzo delle credenziali di accesso del defunto – tutti i dati ivi memorizzati in vita dal defunto.
Vediamoli singolarmente:
a) Il Regolamento UE n. 679/2016 sul trattamento dei dati personali
Sebbene il considerando n. 27 del Regolamento UE n. 679/2016 statuisca che questo non si applichi ai dati personali delle persone defunte e rimetta agli Stati membri la previsione di norme riguardanti il trattamento dei dati personali delle persone decedute, il GDPR si rivela comunque il principale strumento giuridico per ottenere copie dei beni digitali appartenuti al defunto e memorizzati nell’account a questi riconducile.
Invero, il GDPR, oltre ad essere pienamente applicabile anche a tutti i titolari del trattamento che abbiano sede fuori dall’Unione Europea, ma che trattino dati di interessati che si trovano all’interno della UE (ex art. 3, par. 2, Regolamento UE n. 679/2016)[1] – gran parte dei fornitori di servizi della società dell’informazione hanno sede negli Stati Uniti, ove vige un severo principio di riservatezza delle comunicazioni e non sono riconosciuti diritti a tutela dei dati del defunto – contiene una norma, l’art. 6, par. 1, lett. b) e lett. f)[2] certamente utilizzabile al fine di entrare in possesso dei beni ereditari.
Spesso i fornitori dei servizi della società dell’informazione, in particolare quelli di social network respingono le richieste dei chiamati o degli eredi, trincerandosi dietro la tutela della riservatezza sia del defunto sia, nei casi di “chat” o “conversazioni private”, delle controparti (rectius, partner) delle comunicazioni.[3]
Le eccezioni sulla riservatezza risultano però del tutto inconsistenti.
Se è vero, infatti, che il contratto (atipico) per la fornitura di un servizio (o di un bene digitale) si trasferisce mortis causa come ogni altro rapporto contrattuale[4] (come meglio si dirà infra), è altrettanto vero che, anche ai fini dell’effettivo subentro degli eredi nel contratto (e, quindi, nella gestione dell’account) il trattamento dei dati del defunto relativi all’account (ivi compreso il trattamento dei dati dei partner di comunicazione) da parte degli eredi deve considerarsi lecito exart. 6, par. 1, lett. b), prima ancora che necessario[5].
Il consenso prestato dal defunto, del resto, continua ad avere efficacia nei confronti degli eredi e, dunque, a rendere legittimo il trattamento.[6]
Inoltre, gli eredi sono quasi sempre portatori di un “interesse legittimo”[7] ad accedere agli account del defunto (si pensi, ad esempio, all’interesse alla tutela di diritti derivanti dalla successione, alla loro difesa, ecc.) ragione per la quale, anche prescindendo dal subentro nel contratto, potrebbe essere invocato anche l’art. 6, par. lett. f) che renderebbe comunque lecita la comunicazione dei dati del defunto e il loro trattamento[8]. Il trattamento dei dati necessario per la tutela degli interessi legittimi degli eredi, infatti, prevale rispetto agli interessi e ai diritti fondamentali alla protezione dei dati personali e al rispetto della vita privata e familiare propri dei partner di corrispondenza[9].
Un ultimo aspetto su cui si ritiene possibile avanzare una legittima richiesta di accesso è quello legato alla tutela postuma del defunto. In forza della persistenza di interessi giuridicamente tutelabili in capo ai prossimi congiunti, questi potrebbero ottenere accesso ai dati del de cuius, una copia dei medesimi o richiedere la loro cancellazione[10].
b) Il D. Lgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018
La norma che però, più di tutte, si rivela efficace per entrare in possesso dei beni digitali ereditari è, qualora risulti applicabile la legge italiana, l’art. 2 terdecies del D. Lgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018[11], titolato “Diritti riguardanti le persone decedute”.
Tale norma infatti prevede espressamente, al 1° comma, che: “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.”
L’art. 2 terdecies ha una portata dirompente – in linea con l’art. 9 co. 3, del “vecchio” Codice Privacy il quale prevedeva che i diritti di cui all’art. 7[12], riferiti a dati personali concernenti persone decedute, potessero essere esercitati da chi avesse avuto un interesse proprio, o agisse a tutela dell’interessato o per ragioni familiari meritevoli di protezione –, in quanto consente di ottenere ex art. 15 del GDPR[13] l’accesso non solo a tutti i dati anagrafici del defunto, bensì a tutte le informazioni allo stesso riconducibili “memorizzate” dal titolare del trattamento e, dunque, tutte le foto digitali, i video, le conversazioni, le registrazioni, i podcast, i file di testo[14].
Inoltre, l’art. 15 del GDPR non riconosce soltanto il diritto (e quindi l’obbligo del titolare) ad ottenere accesso ai dati, ma anche quello di riceverne una copia gratuita[15], salvo che ovviamente l’esercizio di tale diritto non sia lesivo di diritti o libertà di altre persone fisiche[16].
Legittimati a tale richiesta sono coloro tutti che hanno un interesse proprio (quale un legittimario pretermesso, un coerede, un legatario), che agiscono a tutela dell’interessato (ivi compreso l’esecutore testamentario che ritenga lesa la dignità del defunto), in qualità di mandatari (quali soggetti che, in forza di un contratto inter vivos, hanno ricevuto l’incarico di compiere una determinata attività, ad esempio cancellare o consegnare i dati del mandante), o per ragioni familiari meritevoli di protezione (quale un familiare che nell’ambito una pubblicazione su un social network ritenga lesi gli interessi del nucleo familiare), dunque soggetti che potrebbero essere titolari di un diritto acquisito mortis causa o legittimati iure proprio[17].
c) La successione negli account e il subentro nel contratto sotteso
Le problematiche relative all’accesso ai beni digitali riconducibili al de cuius sono strettamente connesse alle questioni legate al subentro nel contratto, sicché i due temi devono essere trattati congiuntamente, pur tenendo sempre ben distinti i beni digitali dal contratto per la fornitura del relativo servizio.
Oggetto della successione digitale mortis causa, come sopra esposto, non sono solamente i beni (materiali e digitali), bensì anche i rapporti contrattuali di cui era parte il defunto, salvo eccezioni. Tra questi devono (rectius dovrebbero) essere ricompresi quelli sottesi alla fruizione degli account.
Infatti, come anche già affermato dalla giurisprudenza tedesca[18], se si muove dal presupposto che i rapporti inerenti beni immateriali (dati, personali e non) sono parte del patrimonio del de cuius e come tali sono suscettibili di trasmissione ereditaria, non vi è ragione per escludere, in applicazione del principio di universalità della successione, che anche gli account per la fruizione di un social network, come ogni altra posizione contrattuale, siano oggetto di devoluzione e di acquisto mortis causa.[19]
Conseguentemente, non vi è ragione per impedire agli eredi del defunto, quali successori nell’integralità dei rapporti attivi e passivi del de cuius (non quali legittimati iure proprio o su base fiduciaria) e, quindi, anche nel contratto atipico di social network, di ottenere l’accesso a quanto racchiuso nell’account[20].
Una siffatta conclusione si ricava altresì dalla presenza di clausole che prevedono espressamente non solo la cancellazione di tutti i dati dell’utente defunto, bensì anche clausole di intrasmissibilità del rapporto contrattuale, imposte, per derogare all’ordinaria disciplina (e consentire ai fornitori dei servizi della società dell’informazione di trattenere per sé i dati dei propri utenti defunti).
Tali clausole, giustificate ora in ragione della natura intuitu personae del rapporto con il defunto ora dal dovere di riservatezza e tutela della privacy dello stesso, impediscono il subentro degli eredi nel contratto e, nel contempo, l’accesso ai dati attraverso l’utilizzo dell’account[21].
Tuttavia, se è vero che, attraverso l’autonomia privata contrattuale, le parti contraenti possono stabilire l’intrasmissibilità delle posizioni contrattuali[22] o l’attenuazione delle prestazioni legate al contratto (si veda a tal proposito Facebook che consente la trasformazione dell’account in “commemorativo”) è altrettanto vero che, quantomeno nella contrattazione di massa a distanza, clausole di tal specie si rivelano spesso abusive.
Invero, come ha avuto modo di statuire la giurisprudenza tedesca[23], le clausole di rinunzia che avvantaggiano unilateralmente una delle parti a sfavore dell’altra (come la clausola di intrasmissibilità del contratto, quelle di cancellazione dei dati, quella della legge applicabile o della giurisdizione competente), devono essere considerate nulle, quando:
- sono frutto di un’illegittima asimmetria contrattuale, come nel caso della contrattazione in rete dove non vi è (salvo prova contraria) una contrattazione espressa sul loro contenuto;
- non prevedano un’equa distribuzione dei diritti[24] tra le parti.
Altrimenti, il diritto di accesso all’account da parte degli eredi sarebbe precluso e, nel contempo, il principio di universalità della successione sarebbe neutralizzato[25].
In ogni caso, clausole di tal natura, ancorché idonee ad impedire la successione nell’account, non potrebbero comunque mai impedire la trasmissione di diritti già cristallizzati nel patrimonio del de cuius (quali, tra gli altri, il diritto di accesso ai dati personali), in quanto contrarie a norme e principi inderogabili sia in materia di tutela del consumatore sia in materia di successioni[26].
[1] L’art. 3, par. 2, del Regolamento UE n. 679/2016 dispone che “2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”[2] L’art. 6 del Regolamento UE n. 679/2016 prevede che: “1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. 2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX. 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell’Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10; d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.”[3] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, in Contr. e impr., 2019, p. 99.[4] Mattera, La successione nell’account digitale. Il caso tedesco, in NGCC, 4/2019, p. 703. [5] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 99; La trasmissione e la messa a disposizione presso l’account del defunto di messaggi e contenuti condivisi del partner di comunicazione avviene anche in adempimento di un’obbligazione contrattuale principale, esistente nei confronti di costui (sul punto, V. Mattera, La successione nell’account digitale. Il caso tedesco, cit., p. 700.
[6]Mattera, La successione nell’account digitale. Il caso tedesco, cit., p. 706.[7] BGH, 12 luglio 2018, n. 183/17; La Corte di Cassazione tedesca afferma che nel novero degli interessi legittimi rientrano, oltre quelli ex lege, anche gli interessi di fatto, economici o ideali, con esclusione tuttavia dei meri interessi generali.[8] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 99.[9] Mattera, La successione nell’account digitale. Il caso tedesco, cit., p. 706.[10] Camardi, L’eredità digitale. Tra reale e virtuale, in Dir. inf. e inform., 2018, p. 80.[11] È previsto che: “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. 2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. 3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3. 5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.”[12] D. Lgs. 30 giugno 2003, n. 196, art. 7. “1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L’interessato ha diritto di ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L’interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.”[13] L’ art. 15 del Regolamento UE n. 679/2016 prevede che: “1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.”[14] Ricci, I diritti dell’interessato, cit., p. 185.[15] Si deve dare atto che, in alcuni provvedimenti il Garante per la protezione dei dati personali, pur riconoscendo agli eredi il diritto di accedere ai dati personali del defunto inerenti ai conti correnti, hanno limitato l’esercizio di tale diritto ai dati riferiti esclusivamente al de cuius, escludendo quelli dei soggetti terzi. Questo principio deve ritenersi sempre valido, salvo che le informazioni relative ai terzi non risultino necessari per far valere azioni giudiziarie verso la banca. Sul punto, Ricci, I diritti dell’interessato, in AA.VV. Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017, pp. 186-187.[16] Ricci, I diritti dell’interessato, cit., p. 186.[17] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 99.[18] BGH, 12 luglio 2018, n. 183/17 [19] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 91; Camardi, L’eredità digitale. Tra reale e virtuale, cit., p. 79; Marino, La successione digitale, cit., p. 180.[20] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 91.; BGH, 12 luglio 2018, n. 183/17[21] Camardi, L’eredità digitale. Tra reale e virtuale, cit., p. 79.[22] Marino, La successione digitale, in Oss. dir. civ. e comm., 2018, p. 180.[23] BGH, 12 luglio 2018, n. 183/17[24] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 92.[25] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 93.[26] Marino, La successione digitale, cit., pp. 181 – 182.