Privacy e defunti: le “ragioni familiari” prevalgono sul contratto del gestore web

Le ragioni familiari meritevoli di protezione ex art. 2- terdecies d.lgs n. 101/2018 prevalgono sulla clausola di intrasmissibilità dei diritti sui contenuti stipulata dall’internet service provider con l’utente poi defunto che ha aderito alle condizioni generali.

Così le sentenze di merito Trib. Milano, ord., 9 febbraio 2021 Trib. Bologna, ord., 25 novembre 2021 Trib. Roma, ord., 10 febbraio 2022. I casi e le allegazioni delle ragioni familiari meritevoli di protezione . Il Tribunale di Milano, con ordinanza del 9 febbraio 2021, valuta il caso dei genitori che - colpiti dalla morte improvvisa del figlio - chiedono alla Apple di accedere ai dati del cellulare del defunto conservati su ICloud, piattaforma di backup dei dispositivi del noto produttore e gestore di servizi internet. Il Giudice accoglie sulla scorta dell'art. 2- terdecies d.lgs n. 101/2018 per il quale i diritti di cui agli artt. 15-22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione . Il Tribunale di Bologna, con ordinanza del 25 novembre 2021, valuta il caso della madre che - colpita dal suicidio del figlio - chiede alla Apple di accedere ai dati del cellulare del defunto conservati su ICloud. Il Giudice accoglie ex art. 2- terdecies d.lgs. n. 101/2018 . Il Tribunale di Roma, con ordinanza del 10 febbraio 2022, valuta il caso della vedova che - colpita dalla morte improvvisa del marito per infarto - chiede alla Apple di accedere ai dati del cellulare del coniuge defunto conservati su ICloud. Il Giudice accoglie ex art. 2- terdecies d.lgs. n. 101/2018 . Il comune denominatore di questi casi, oltre alla similarità del fatto, attiene alla motivazione a fondamento della richiesta tutti i ricorrenti ex art. 700 c.p.c. basano il fumus boni iuris sulle ragioni familiari meritevoli di protezione . Nel caso del Tribunale di Milano, le ragioni familiari meritevoli di protezionevengono individuate e allegate dai genitori ricorrenti nel progetto di redigere un libro delle ricette personali - che il figlio cuoco si segnava sul cellulare - al fine di mantenerne vivo il ricordo nella cerchia familiare. Nel caso del Tribunale di Bologna, le ragioni familiari meritevoli di protezione vengono individuate e allegate dalla madre ricorrente nell'esigenza di colmare in parte il vuoto lasciato, di verificare l'esistenza di contenuti utili per la comprensione di un simile gesto nonchè nell'obiettivo di realizzare un progetto di commemorazione con gli scritti, le foto, i video e qualsiasi altro contenuto che possa essere di conforto anche per gli amici, i compagni di scuola e di sport, rimasti devastati dall'evento. Nel caso del Tribunale di Roma, invece, le ragioni familiari meritevoli di protezionevengono individuate e allegate dalla vedova ricorrente nella volontà di trasmettere il ricordo del padre alle due figlie in tenera età, di tre e cinque anni, per il rilevante contenuto affettivo delle foto e dei video memorizzati nell'account ICloud del padre. Prevale il diritto interno sulle condizioni di servizio del gestore. Le condizioni di servizio della piattaforma ICloud stabiliscono che se non diversamente previsto dalla legge, accettate che il vostro account non è trasferibile e che qualsiasi diritto verso il vostro ID Apple o contenuto nell'account si estingue con la vostra morte [ ] . Pertanto, è il gestore stesso che premette la prevalenza del diritto interno sulle condizioni di servizio. Tuttavia, secondo il ragionamento di Apple, disponendo l'intrasferibilità dei diritti sui contenuti a terzi, con la morte del titolare dell'account non esiste nessun soggetto legittimato ad accedere nonostante che la legge interna abbia individuato specifiche persone autorizzabili. In questi casi Apple richiede il provvedimento del giudice per sbloccare l'impossibilità di azione in cui il gestore viene a trovarsi proprio a causa delle condizioni contrattuali da esso stesso stabilite. In modo molto più lineare, si potrebbe osservare che questo gestore potrebbe consentire l'accesso senza necessità di ricorrere al provvedimento giudiziario in quanto esiste una disposizione normativa precisa - almeno in Italia - che è appunto l'art. 2- terdecies d.lgs. n. 101/2018 . L'accesso ai dati dell'ICloud del defunto potrebbe essere attivato semplicemente previo vaglio dei documenti identificativi del richiedente e delle motivazioni addotte ove rientranti nella disciplina del Codice Privacy italiano. Il fumus boni iuris e l'art. 2- terdecies d.lgs n. 101/2018 . Le ordinanze in parola valutano il fumus boni iuris secondo il medesimo argomentare. Si cita il Considerando 27 del GDPR unitamente all'art. 2- terdecies d.lgs n. 101/2018 . Il Considerando 27 osserva che il presente regolamento non si applica ai dati personali delle persone decedute però lascia la possibilità di scelta agli Stati membri che - continua - possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute . Qui ovviamente si inserisce il nostro art. 2- terdecies distinto principalmente in due situazioni il defunto non ha lasciato nessuna dichiarazione scritta il defunto ha lasciato una dichiarazione scritta in cui prescrive il divieto a chiunque di accedere e accetta la cancellazione definitiva eseguita dal gestore dopo un certo lasso temporale di solito 6 mesi . Prima situazione il defunto non lascia nessuna dichiarazione scritta e i familiari chiedono l'accesso. La situazione si risolve verificando se questi familiari presentano i requisiti stabiliti chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione . Come abbiamo già visto, in queste tre pronunzie le istanze sono state accolte perchè è emerso chiaramente il requisito delle ragioni familiari meritevoli di protezione debitamente vagliate secondo le allegazioni presentate dai ricorrenti. Inoltre, unitamente ai requisiti, occorre anche che non via sia l'impedimento del divieto della legge o del divieto del defunto. Seconda situazione il defunto ha stabilito il divieto di accesso con dichiarazione scritta. Quest'ultima per essere valida deve rispondere ai seguenti requisiti deve risultare in modo non equivoco e deve essere specifica, libera e informata . Infine, dev'essere presentata al titolare del trattamento o a quest'ultimo comunicata . Questa dichiarazione è sempre suscettibile di revoca o modifica. Oltre a garantire tali diritti, alcuni gestori offrono la possibilità di nominare il cosiddetto contatto erede ovvero il terzo designato espressamente dal de cuius per gestire il proprio account commemorativo. Il comma 5 dell'art. 2- terdecies precisa che il divieto - sebbene validamente formulato - può soccombere di fronte alla richiesta di accesso dei terzi a tutela di interessi patrimoniali o per motivi di difesa. Il problema dei terzi controinteressati . Una volta superata la questione dei terzi legittimati all'accesso, spunta il problema dei controinteressati. Esistono diverse tipologie di controinteressati quelli che vogliono conservare la privacy sulle confidenze scambiate con il defunto quelli che invece vogliono accedere per tutelare i propri diritti patrimoniali o per difendersi. Nell'ipotesi in cui i familiari richiedano l'accesso ai dati del defunto emergono le posizioni dei controinteressati che non vogliono tale accesso perchè lederebbe la propria riservatezza. Pensiamo alla privacy dei destinatari dei messaggi del defunto che potrebbero non essere lieti che le proprie confidenze venissero disvelate ai genitori o ai figli oppure ai fratelli o sorelle del de cuius . Probabilmente qui bisognerebbe ragionare secondo gli schemi del diritto amministrativo per cui ove si autorizzi l'accesso a dei documenti è necessario avvisare anche gli eventuali controinteressati. Naturalmente è comprensibile che i gestori non vogliano aprire questo vaso di Pandora che li investirebbe di oneri incalcolabili. Tuttavia, per la tutela del copyright questo viene fatto in automatico sebbene in modo assai semplicistico. Ogni volta che si presenti una segnalazione per lesione del copyright, il web provider avvisa il segnalante che i suoi dati e contatti verranno automaticamente comunicati al soggetto segnalato. Nell'ipotesi in cui il defunto abbia lasciato una dichiarazione scritta inequivocabile di divieto di accesso a chiunque con la cancellazione definitiva emergono le posizioni dei controinteressati che vogliono invece accedere per ragioni patrimoniali o di difesa. Queste situazioni sono state previste. Il nostro legislatore interno ha tenuto ben presente questo problema in quanto al comma 5 dell'art. 2- terdecies d.lgs. n. 101/2018 stabilisce in ogni caso, il divieto non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonch é del diritto di difendere in giudizio i propri interessi . La questione dei controinteressati è veramente un altro mondo tutto da esplorare e in questa sede si è voluto soltanto mettere sul piatto l'argomento per aprire a un dibattito già esistente in dottrina e in qualche pronunzia estera. Il periculum in mora . Il periculum in mora allegato ed accolto dai giudici delle tre pronunzie in parola si individua nel fatto che il gestore entro un breve lasso temporale circa 6 mesi provvede alla cancellazione definitiva dell'account. I ricorrenti hanno allegato tale pericolo sulla scorta di nozioni di comune esperienza con riferimento al periculum in mora , basti osservare che, come specificamente allegato da parte ricorrente con riferimento a nozioni di comune esperienza , la aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell'account i-cloud, [lo avrebbero] automaticamente distrutto Trib. Milano, 9 febbraio 2021, e Trib. Roma, 10 febbraio 2022 . Sempre nello stesso senso, il Tribunale di Bologna sul periculum in mora , si soggiunge che non è dato sapere per quanto tempo ancora Apple conserver à i dati, essendo cessata da oltre un anno l'attività dell'account cfr. docomma ricorrent e . La legittimazione passiva del gestore . In merito alla legittimazione passiva del gestore si deve concludere che venga individuata nella sede europea dichiarata titolare del trattamento. Come noto, per motivi di agevolazione fiscale, le sedi legali europee delle big tech straniere si trovano tutte in Irlanda e quindi anche nel caso di Apple il soggetto da convenire in giudizio è Apple Distribution International Limited . Il gestore Apple si è sempre dimostrato collaborativo ma ha eccepito il difetto di legittimazione passiva della Apple Italia s.r.l. indicando quale soggetto legittimato la sede irlandese estromissione accolta dal giudice, Trib. Bologna, 25 novembre 2021 .

Giudice Luparelli Fatto e diritto Con ricorso ex art. 700 c.p.c. notificato 18 dicembre 2021 omissis ha chiesto in via d'urgenza di ordinare ad omissis di fornirle, quale erede del marito omissis la necessaria assistenza per il recupero dei dati dell'account del sig. omissis associato omissis anche mediante consegna delle relative credenziali di accesso . Ha dedotto la ricorrente che suo marito, deceduto per un infarto del miocardio il omissis , era proprietario di un iPhone omissis Blue, avente codice IMEI omissis al quale era associato l'ID omissis di non conoscere né il codice PIN del dispositivo né le credenziali di accesso dell'account omissis mediante il quale avrebbe potuto recuperare il contenuto del telefono del quale il marito, pochi giorni prima della morte, aveva effettuato un backup sul computer in uso alla famiglia allo scopo di accedere ai dati contenuti nell'account iCloud collegato all'ID omissis del defunto, di avere contattato il servizio omissis che le aveva comunicato la procedura per ottenere l'assistenza al recupero dei dati personali dagli account del defunto ed enunciato l'impossibilità di consentirne l'acquisizione in mancanza di un provvedimento giudiziario. A fondamento della domanda la ricorrente ha allegato la sussistenza del fumus boni iuris, in presenza dei presupposti della tutela apprestata dall'art. 2 terdecies del D.Lgs. numero /2018 Leggasi D.lgs. numero /2003 N.d.R. , secondo il quale i diritti riferiti ai dati personali di persone decedute possono essere esercitati da soggetti portatori di ragioni familiari meritevoli di tutela , ravvisabili nella necessità di recuperare le fotografie ed i video presenti nel dispositivo, di rilevante contenuto affettivo, specialmente per le figlie del defunto, di tre e cinque anni, nonché del periculm in mora , atteso che il mancato utilizzo di un account per un periodo prolungato, in genere non superiore a sei mesi comporta la disattivazione automatica dei sistemi gestiti, causando irreparabilmente la perdita dei dati ad esso associati. omissis si è costituita, manifestando la propria vicinanza alla ricorrente per la dolorosa situazione e rappresentando la disponibilità a cooperare ed a fornire ogni idoneo supporto per ottenere quanto richiesto, precisando tuttavia l'impossibilità di garantire automaticamente l'accesso ai contenuti archiviati su iCloud dal defunto omissis non potendo omissis contravvenire alle condizioni contrattuali che regolavano il rapporto con il cliente consentendo l'accesso all'account ha aggiunto inoltre di avere regolato le modalità per accedere gli account e ai dispositivi di un cliente dopo il decesso, prevedendo che la valutazione delle ragioni familiari meritevoli di protezione sia demandata al giudice. In sede di udienza di discussione i difensori delle parti, ribadito il contenuto delle proprie difese, hanno concordemente chiesto al tribunale la pronuncia del provvedimento oggetto della domanda cautelare, con compensazione delle spese processuali. Il ricorso fondato, merita accoglimento. Ritenuta l'ammissibilità la domanda cautelare volta ad ottenere l' ordine nei confronti di omissis di fornire assistenza nel recupero dei dati personali dagli account del coniuge deceduto, finalizzata alla pronuncia di un provvedimento idoneo a garantire la conservazione dell'utilità pratica che la decisione nel merito attribuirà e passando ai profili concernenti la verosimile sussistenza del diritto a cautela del quale la parte ha agito, si rileva che propriamente la ricorrente ha invocato la disciplina del codice della protezione dei dati personali dettata dall'art. 2 terdecies del decreto legislativo n. 101/2018 Leggasi D.lgs. numero /2003 N.d.R. . È noto che nel Considerando l'art. 27 del Regolamento europeo sulla protezione dei dati personali n. 2016/679, vigente dal 25.05.2018, è stato precisato che il regolamento non si applica ai dati personali delle persone decedute, demandandosi agli Stati membri la possibilità di introdurre norme riguardanti il trattamento dei dati personali delle persone defunte. Il decreto legislativo 10 agosto 2018, n. 101 Leggasi D.lgs. numero /2003 N.d.R. , all'art. 2 terdecies, specificamente dedicato ai temi della tutela post-mortem e dell'accesso ai dati personali del defunto, prevede che i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni famigliari meritevoli di protezione . La regola generale prevista dal nostro ordinamento, in continuità con la disciplina contenuta nell' art. 9, comma 3, del D.Lgs. 196/2003 è quella della sopravvivenza dei diritti dell'interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all'esercizio dei diritti stessi cfr. Tribunale Milano ordinanza 2.03.2021 . Come nella previgente disciplina, il legislatore non prende posizione sulla vicenda acquisitiva, non chiarendo se si tratti di un acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere la persistenza dei diritti di contenuto digitale oltre la vita della persona fisica diritti che prevedono il diritto di accessoart. 15 Reg. UE , di rettifica e cancellazione artt. 16 e 17 , di limitazione di trattamento art. 18 , di opposizione art. 21 , di portabilità dei dati art. 20 . Il secondo comma della norma prevede che L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata , a presidio del diritto all'autodeterminazione del soggetto, lasciandogli la scelta se lasciare agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali ed esercitare tutti o parte dei diritti connessi oppure di sottrarre all'accesso dei terzi tali informazioni. Al fine di salvaguardare la consapevolezza della scelta, il terzo comma prevede pregnanti requisiti di sostanza e di forma aggiungendo che La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata precisando che il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma il quarto comma dispone che la volontà espressa dall'interessato è sempre suscettibile di revoca o modifica mentre, a tutela dei terzi, il quinto comma aggiunge che il divieto in oggetto non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi . Richiamato il contenuto della norma, si osserva che nel caso sottoposto all'odierno esame la ricorrente agisce iure proprio sulla base di un interesse meritevole di protezione di natura familiare che la legittima all'esercizio della prerogativa prevista e giustifica il diritto di acquisire i dati riferibili al defunto. La richiesta di accesso alle informazioni ed ai dati personali riferibili agli account del marito e padre è finalizzata a recuperare foto e filmati di famiglia destinati a rafforzare la memoria del tempo vissuto insieme ed a conservare tali immagini a beneficio delle figlie in tenera età. Ritenuta la legittimazione all'esercizio del diritto di accesso ai dati personali del titolare, colpito prematuramente ed improvvisamente dall'evento morte, sorretta da quelle ragioni famigliari meritevoli di protezione che giustificano l'accesso ai beni digitali dopo la morte del titolare, si ritiene che nel caso in esame l'accesso ai dati non è precluso dall'accettazione delle condizioni generali di contratto da parte del signor omissis al momento dell'acquisto del dispositivo. È incontroverso che il defunto fosse titolare degli account associati all'ID omissis e che le condizioni generali del contratto accettate al momento dell'attivazione del servizio prevedevano la non trasferibilità dell'account e che qualsiasi diritto sull'Id omissis e sul suo contenuto si estinguesse con la morte. L'acquisizione, secondo le convergenti conclusioni delle parti, non preclude il diritto di accesso della ricorrente. Come evidenziato, a presidio della piena consapevolezza della scelta, l' art. 2 terdecies del codice della privacy , comma 3, prevede che volontà dell'interessato di vietare l'esercizio dei diritti digitali e l'accesso ad essi dopo il suo decesso sia espressa in maniera libera, informata e specifica e che possa sempre essere revocata o modificata. La mera adesione alle condizioni generali di contratto, in difetto di approvazione specifica delle clausole predisposte unilateralmente dal gestore nella materia de qua non appare soddisfare i requisiti sostanziali e formali espressi dalla norma richiamata, tenuto conto che le pratiche negoziali dei gestori in cui le condizioni generali di contratto si radicano non valorizzano l'autonomia delle scelte dei destinatari. In ogni caso a fondamento della tutela richiesta soccorre anche l'art. 6, par. 1, lettera f del citato Regolamento che autorizza il trattamento dei dati personali necessario per il perseguimento del legittimo interesse del titolare o di terzi, considerato che la ricorrente intende accedere agli account personali del marito e padre per ragioni familiari meritevoli di protezione , nella prospettiva della soddisfazione del predetto legittimo interesse. Ritenuto sussistente il requisito del famus boni iuris, con riferimento al periculum in mora costituisce nozione di comune esperienza che i sistemi omissis dopo un periodo di inattività dell'account i-cloud sono destinati ad andare automaticamente distrutti , sicché il tempo occorrente per la definizione del giudizio a cognizione piena potrebbe incidere irreparabilmente sull'esercizio dei diritti connessi ai dati personali del defunto, compromettendo la possibilità di tutela di interessi, come quelli in rilievo, di rango primario, meritevoli di protezione. Tenuto conto delle convergenti richieste e della condotta processuale della resistente, le spese sono integralmente compensate tra le parti. P.Q.M. Ordina ad omissis in persona del legale rapp.te p.t. di prestare assistenza a per il recupero dei dati dell'account di omissis associato all'ID omissis anche mediante consegna delle credenziali di accesso. Compensa le spese processuali.