Il diritto di accesso ai dati personali del defunto. Un’analisi dell’art. 2 terdecies del Codice Privacy

Sommario: 1. La normativa – 2. La giurisprudenza – 3. Conclusioni

Il presente articolo analizza il tema relativo al diritto di accesso ai dati personali del defunto.

In particolare, si offre una disamina della normativa esistente sul punto e del dibattito creatosi tra questioni successorie e questioni contrattuali.

Il dibattito riguarda infatti le circostanze nelle quali il soggetto defunto, nel corso della propria vita, abbia accettato condizioni vincolanti in merito ai propri dati personali, ad esempio prevedendo la loro intrasmissibilità dopo la propria morte, ma sussistano per gli eredi esigenze di accesso per ragioni familiari o personali.

1. La normativa

L’art. 2-terdecies del Codice Privacy[1], rubricato “Diritti riguardanti le persone decedute”, prevede che:

1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.

3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.

4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.

5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.

Dalla lettura della norma, al primo comma, è previsto che le “ragioni familiari meritevoli di protezione” legittimano di regola l’accesso ai dati personali del de cuius.  Ci si chiede, tuttavia, come ciò possa avvenire quando quest’ultimo, in vita, abbia stipulato clausole contrattuali rigide con il fornitore del servizio digitale, ovvero clausole di intrasmissibilità dei dati dopo la propria morte.

Risulta allora fondamentale comprendere il contenuto delle clausole contrattuali che il de cuius ha sottoscritto al momento della registrazione al servizio.

L’ostacolo potenziale risiede nelle clausole che prevedono che dal momento del decesso sia limitato, ovvero del tutto impedito, il subentro degli eredi nella posizione contrattuale del de cuius. Talvolta viene altresì prevista la cancellazione dei dati dell’utente dal momento del suo decesso, ovvero a distanza di un certo tempo dal decesso.

Il titolare del servizio può inoltre giustificare il proprio rifiuto alla richiesta di accesso da parte degli eredi per tutelare a) la titolarità del servizio digitale; b) la riservatezza del defunto; c) la riservatezza dei soggetti terzi che abbiano interagito con lo stesso attraverso i social (es. in chat o tramite i post). Tuttavia, permane l’esigenza degli eredi.

Tale contrasto ha portato la giurisprudenza ad esprimersi sul punto.

2. La giurisprudenza

Negli ultimi anni sono infatti state adite le vie giudiziarie da parte degli interessati al fine di vedere tutelate le proprie ragioni in merito ai dati personali del de cuius, vincolati in schemi contrattuali “rigidi”.

Ebbene, il Tribunale di Milano, sez. I, ord. 10 febbraio 2021[2], nella causa iscritta al N. R.G. 2020/44578, ha riconosciuto ai genitori del proprio figlio deceduto, il quale di lavoro svolgeva l’attività di chef, l’accesso agli account di quest’ultimo alla luce delle ragioni giustificate nella propria domanda cautelare.

Per la precisione, il Tribunale ha valutato positivamente la sussistenza tanto del fumus boni iuris quanto del periculum in mora al fine di permettere l’accesso ai dati agli eredi. Gli stessi hanno richiesto l’accesso ai dati i-cloud del figlio sugli account Apple, citando in giudizio la Apple Inc., al fine di “poter realizzare un progetto che possa servire a mantenerne vivo il ricordo”.

Il Tribunale ha chiarito come: “Dal disposto dell’art. 2 terdecies appena citato appare evidente come i ricorrenti, genitori del defunto…, siano legittimati ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto. Il tenore delle allegazioni di parte attrice (la possibilità di recuperare parte delle immagini relative all’ultimo periodo di vita del giovane sig… e la volontà di realizzare un progetto che, anche attraverso la raccolta delle sue ricette, possa tenerne viva la memoria) e il legame esistente tra genitori e figli costituiscono elementi che portano a ravvisare l’esistenza delle “ragioni familiari meritevoli di protezione” richieste dalla norma. Dalla corrispondenza intervenuta tra i ricorrenti e la società resistente emerge in modo chiaro come il sig. … non abbia espressamente vietato l’esercizio dei diritti connessi ai suoi dati personali post mortem. Il titolare del trattamento, infatti, nelle numerose comunicazioni inoltrate al difensore dei ricorrenti, non ha mai fatto riferimento all’esistenza di una dichiarazione scritta in tal senso. Per quanto attiene, infine, alle condizioni di esercizio richieste dalla Apple S.r.l., si osserva come il riconoscimento della persistenza dei diritti connessi ai dati personali in capo a chi vanti, come nel caso di specie, una ragione familiare meritevole di protezione non può essere subordinato alla previsione di requisiti che, peraltro, con riferimento ad istituti di un ordinamento giuridico diverso da quello italiano (dinanzi al quale il diritto è azionato), introducono condizioni diverse da quelle indicate dal legislatore. Nelle comunicazioni inviate dalla società resistente, infatti, si richiede: “un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua autorizzazione costituisce un “consenso legittimo”, secondo le definizioni date nell’Electronic Communications Privacy Act; 4) Che il tribunale ordina a Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi”. Orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell’ordinamento italiano non esiste la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame. Solo per completezza – con riferimento al diniego opposto da Apple S.r.l. per tutelare la “sicurezza dei clienti” (cfr. doc. 2 e 6) – e, dunque, per quanto attiene all’applicabilità del GDPR unicamente in relazione alla controparte della comunicazione, società odierna resistente (stante l’inapplicabilità del Regolamento ai dati di una persona defunta), si osserva come l’art. 6, par. 1, lettera f) del citato Regolamento autorizzi il trattamento dei dati personali necessario per il “perseguimento del legittimo interesse” del titolare o di terzi. Atteso che i ricorrenti, genitori del defunto sig. …, intendono accedere agli account personali del defunto figlio per “ragioni familiari meritevoli di protezione”, deve ritenersi sussistente il predetto legittimo interesse. Alla luce delle considerazioni che precedono – ritenuto che i ricorrenti, genitori del defunto sig. … siano titolari dei diritti relativi ai dati personali del figlio (nei limiti oggetto della presente domanda cautelare) – deve ritenersi sussistente il requisito del fumus boni iuris. Con riferimento al periculum in mora, basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente “distrutti”. Il pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa. Si impone, pertanto, una pronuncia di accoglimento della domanda cautelare spiegata dai ricorrenti ed una conseguente condanna della Apple S.r.l. a fornire assistenza nel recupero dei dati personali dagli account del sig. …”.

Con riferimento alle analoghe pronunce sul tema, si evidenziano:

• Tribunale di Bologna[3], sez. I, ord. 25 novembre 2021, nella causa iscritta al ruolo n. r.g. 9686/2021, promossa contro Apple Inc.;

• Tribunale di Roma[4], sez. VIII, ord. 10 febbraio 2022 nella causa iscritta al ruolo 63936/2021.

Nel primo caso, il Tribunale di Bologna ha accolto la domanda cautelare proposta dagli istanti per ottenere l’accesso agli account del de cuius.

Invece, il Tribunale di Roma ha ingiunto al fornitore del servizio di prestare assistenza agli istanti, legittimati all’accesso, per il recupero dei dati dell’account del defunto “anche mediante consegna delle credenziali di accesso”.

In virtù delle citate pronunce si è chiarito dunque che il diritto di accesso esercitato per la tutela di ragioni familiari da parte degli eredi del de cuius prevale su clausole contrattuali stipulate in vita dal de cuius, limitative e/o impeditive dell’accesso. Ciò in quanto si è evidenziata l’importanza delle ragioni familiari già richiamate dalla previsione normativa di cui all’art. 2-terdecies primo comma del Codice Privacy.

3. Conclusioni

In conclusione, la tematica trattata evidenzia esigenze pratiche, comuni ed attuali, e necessita un’attenzione sempre crescente, da un punto di vista tanto sostanziale quanto normativo, al fine di poter prevedere e prevenire ostacoli o limitazioni per i soggetti interessati.

Inoltre, risulterà sempre più importante creare consapevolezza circa le condizioni e i rischi insiti nella dinamica analizzata, individuare le modalità efficaci per conoscere ex ante la portata di clausole limitative e/o impeditive dei diritti di accesso e rafforzare la tutela per gli interessati.

[1] Riferimento all’art. 2-terdecies Codice Privacy: “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. 2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. 3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3. 5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”. – Riferimento: https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29#:~:text=Art.,-2%2Dterdecies%20(Diritti&text=meritevoli%20di%20protezione.-,2.,trattamento%20o%20a%20quest’ultimo%20comunicata.

[2] Sentenza del Tribunale di Milano visionabile al seguente link: https://dirittodiinternet.it/wp-content/uploads/2021/02/Apple-eredita%CC%80-digitale-Tribunale.pdf

[3] Ordinanza del Tribunale di Bologna consultabile al seguente link: https://i2.res.24o.it/pdf2010/Editrice/ILSOLE24ORE/QUOTIDIANI_VERTICALI/Online/_Oggetti_Embedded/Documenti/2022/01/20/Tribunale%20di%20Bologna.pdf

[4] Pronuncia del Tribunale di Roma consultabile al seguente link: https://i2.res.24o.it/pdf2010/Editrice/ILSOLE24ORE/QUOTIDIANI_VERTICALI/Online/_Oggetti_Embedded/Documenti/2022/02/17/Trib_Apple.pdf